Tausende Webseiten für großangelegte Scareware-Attacke manipuliert
Eine wichtige Rolle spielt dabei Googles Suchmaschine, durch die Anwender bei der Eingabe bestimmter Suchbegriffe erst auf die kompromittierten Webseiten stoßen. Betroffen sollen zwischenzeitlich mehr als 200.000 Webseiten gewesen sein,
- Daniel Bachfeld
Der Sicherheitsdienstleister Cyveillance berichtet in seinem Blog von einer groß angelegten Scareware-Attacke auf Anwender, für die offenbar mehr als 200.000 harmlose Webseiten manipuliert wurden (weitere Infos zu Scareware liefert der heise-Security-Artikel "Scharlatane und Hochstapler"). Eine wichtige Rolle spielt dabei Googles Suchmaschine, durch die Anwender bei der Eingabe bestimmter Suchbegriffe erst auf die kompromittierten Webseiten stoßen. Bei den Suchbegriffen handelt es sich aber laut Bericht nicht um die üblichen Verdächtigen wie "Britney Spears, "Obama" oder "Paris Hilton". Vielmehr spuckt Google die Links zu den infizierten Seiten erst bei der Eingabe von längeren Wortkombinationen aus.
Die Kriminellen machen sich dabei den Umstand zunutze, dass die meisten Suchanfragen an Google überraschenderweise zwischen vier und fünf Wörtern enthalten sollen. Somit belegen die Kriminellen laut Cyveillance erfolgreich eine "Nische". Damit Google die Folge von Wörtern auch indexiert, installieren die Kriminellen in den eingebrochenen Seiten ein eigenes Blog, das automatisch Einträge anlegt, deren Überschriften die gewünschten Wörter enthalten (beispielsweise "las vegas rental no credit check", "real world melinda and danny" oder "uninvited song lyrics alanis morrissette").
Zwar warnt Google üblicherweise in seinen Suchergebnisen vor manipulierten Webseiten, allerdings nur dann, wenn der Link direkt dorthin führt. Bei einer Weiterleitung auf eine bösartige Seite fehlt der Hinweis in den Ergebnissen.
Landet nun ein Opfer auf einer der Seiten, wird es unbemerkt auf einen Server der Kriminellen weitergeleitet, der einen Virenscan der Festplatte vortäuscht und durch vorgetäuschte Schädlingsfunde den Anwender zum Download von mehr oder minder funktionsloser Antivirensoftware drängt. Die Umleitung wird aber nur aktiv, wenn der Anwender als Ergebnis der Google-Suche zur Seite gelangte. Dazu prüft die eingeschleuste Blog-Software den HTTP-Referrer.
Die Server-Domains der Kriminellen sind laut Bericht allesamt beim chinesischen Registrar TodayNIC.com eingetragen und sollen auch bei der Verbreitung des Windows-Wurms Koobface involviert sein. Wie die Kriminellen in die Seiten einbrechen, ist nicht genau geklärt. In einigen Fällen soll aber eine Schwachstelle in der älteren Version 1.4.24 der Fotogalerie-Software Coppermine eine Rolle spielen. (dab)
